Depuis octobre, la directive européenne NIS 2 impose aux États membres de l’Union européenne de nouvelles exigences dans le but d’augmenter leur résilience face aux cyberattaques. Elle s’applique aux entreprises comme aux institutions publiques. Comme le souligne Joël Lambillotte, Directeur général adjoint de l’intercommunale iMio, cela signifie de nombreuses adaptations à la clé pour les pouvoirs locaux.
Joël Lambillotte
Directeur général adjoint de l’intercommunale iMio
Les cyberattaques deviennent légion. Récemment encore, les sites web de plusieurs communes ont été victimes d’attaques de type DDoS. Comme le précise Joël Lambillotte, « ces cyberattaques ne génèrent pas de fuites ou de pertes de données, mais elles rendent les sites indisponibles et paralysent le fonctionnement des services publics. »
Tous les pouvoirs locaux concernés
Toutes les organisations présentes en ligne sont susceptibles d’être ciblées. Dans un contexte où les budgets sont plutôt orientés sur la réduction des déficits et où les spécialistes en cybersécurité sont difficiles à trouver, les pouvoirs locaux ne sont cependant pas tous armés de la même façon. Pourtant, soutient notre interlocuteur, « il faut éviter qu’un déséquilibre apparaisse entre eux. Or, certaines villes et communes obtiennent des subsides pour les projets qu’elles entendent mener, tandis que d’autres non. » Créée en 2011, l’intercommunale iMio – entendez l’Intercommunale de mutualisation informatique et organisationnelle – tente de pallier ce déséquilibre. Elle fournit des services à plus de 430 acteurs publics wallons : villes, communes, CPAS, etc. En plus de l’accompagnement qu’elle offre pour aider ses membres à mettre en place leur plan directeur informatique, elle agit également en tant que coordinatrice et centrale d’achats. Elle lance par exemple des offres de marchés publics et coordonne les prestataires des services sélectionnés. « Nous nous assurons qu’ils travaillent tous de manière uniforme. En outre, dans le cadre de l’adaptation des pouvoirs locaux aux exigences de NIS 2, l’objectif est de les faire évoluer progressivement vers la conformité. Dans un premier temps, nous avons une trentaine de mesures à atteindre d’ici au 1er trimestre 2025. »
Les cyberattaques deviennent légion. Elles paralysent le fonctionnement des services publics.
Chasse aux bugs
Les consultants sélectionnés interviennent auprès des agents communaux en fournissant notamment des sessions de formation. Celles-ci les sensibilisent par exemple aux techniques de « social engineering » utilisées par les hackers, autrement dit celles via lesquelles ils mettent la main sur des mots de passe ou des infos sur l’infrastructure d’une organisation. Notons que l’intercommunale conseille les pouvoirs locaux non seulement en matière de protection contre les attaques, mais aussi sur la manière d’organiser les sauvegardes de leurs données.
Moins de 30 % des communes recourent à un double système de vérification.
Joël Lambillotte pointe une autre initiative lancée par iMio : Bug Bounty, soit la chasse aux bugs : « Cette démarche consiste à proposer à des ‘hackers éthiques’ du monde entier de tester les logiciels métiers mis à disposition des villes et communes. Des tests d’intrusion permettent de déceler les failles de sécurité éventuelles et de trouver les moyens de les immuniser contre les cyberattaques. »
90 % des agents déclarent ne pas avoir été sensibilisés à la cybersécurité.
Situation préoccupante
Rappelons ici que récemment, l’intercommunale a fait analyser par des experts la situation d’une centaine de villes, communes et CPAS wallons en matière de cybersécurité. Il en ressort une série de constats interpellants : l’utilisation de mots de passe fait souvent défaut ; moins de 30 % des communes recourent à un double système de vérification ; 90 % des agents déclarent ne pas avoir été sensibilisés à la cybersécurité ; 80 % d’entre eux pensent d’ailleurs que le risque est faible ; 70 % des informaticiens communaux n’ont pas été formés à la sécurité informatique ; 20 % des communes ont connu un dysfonctionnement à la suite du départ d’un agent technique ou d’un prestataire ; les vulnérabilités des logiciels utilisés par les communes ne sont pas corrigées assez rapidement ; etc.